1.                                                

Google Chrome Üzerinde Adli Bilişim İncelemesi

'Adli Bilişim' forumunda Al-Farabi tarafından 10 Temmuz 2016 tarihinde açılan konu

  1. Al-Farabi

    Al-Farabi Albay

    Katılım:
    16 Ocak 2016
    Mesaj:
    1,349
    Beğeniler:
    128
    Ödül Puanları:
    63

    Bu yazımızda özellikle son kullanıcıların internet davranışları üzerinde gerçekleştirilen adli bilişim incelemelerinde mutlak bakılan sayısal delil türlerinden biri olan internet geçmişinin Google Chrome özelinde analizinin nasıl yapılabileceğine değineceğiz. Aşağıdaki ekran görüntüsünden de görülebileceği üzere 26 Temmuz 2015 tarihi itibariyle browser kullanım dağılımında %49,69‘luk bir oranla Google Chrome birinci sırada yer alıyor. (Bu istatistiğin güncel haline http://clicky.com/marketshare/global/web-browsers/ adresinden ulaşabilirsiniz.) Dolayısı ile bu kadar yoğun kullanımda olan bir browserın dosyaları üzerinde yapılacak adli bilişim incelemesinde ciddi sayıda sayısal delil elde edebileceğimiz ortadadır.

    [​IMG]

    Google Chrome’un dosyalarının işletim sistemine özel hangi dizinlerde saklandığını aşağıda bulabilirsiniz. History dosyasının yeri işletim sistemine ve Chrome’un türüne göre farklılık gösterir.
    • Linux -> /home/$USER/.config/google-chrome/
    • Linux -> /home/$USER/.config/chromium/
    • Windows Vista/Win 7/Win 8 -> C:\Users\[USERNAME]\AppData\Local\Google\Chrome\
    • Windows XP ->C:\Documents and Settings\[USERNAME]\Local Settings\Application Data\Google\Chrome\
    • OS X: <userdir>/Library/Application Support/Google/Chrome/Default
    Bunun yanında Chrome, erişilen sitelere ilişkin dosyaları sonraki isteklere daha hızlı yanıt vermek adına kaşeler ve Cache dizini işletim sisteminin türüne göre aşağıdaki lokasyonlardan yer alır.
    • Windows Vista/Win 7 -> c:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Cache\
    • Windows XP -> C:\Documents and Settings\%USERNAME%\Local Settings\Application Data\Google\Chrome\User Data\Cache\
    Aşağıdaki ekran görüntüsünde bir Windows 7 işletim sisteminden elde edilen Google Chrome dizininin içeriğini görebilirsiniz. Buradaki History isimli dosya kullanıcının internet geçmişinin saklandığı dosyadır ve bu dosya SQLite formatındadır. SQLite formatındaki dosyaları okumak için SQLite veritabanları üzerinde işlem yapabilen herhangi bir editör kullanılabilir.

    [​IMG]



    Bu editörlerden birisi Firefox eklentileri arasında en çok kullanılanlar listesinde yer alan SQLite Manager eklentisidir. Bunun yanında aşağıdaki ekran görüntüsünde gösterilen Sqliteman uygulamasını da (http://sourceforge.net/projects/sqliteman/files/latest/download adresinden indirebileceğiniz ) kullanabilirsiniz.


    [​IMG]



    Google Chrome’a ait History dosyası içinde yer alan downloads, urls ve visits tablolar kullanıcının Chrome üzerinden gerçekleştirdiği internet aktiviteleri hakkında bize detaylı bilgiyi verecek verilerin yer aldığı tablolardır. History veritabanı içindeki url tablosunda yer alan alanların açıklamaları aşağıda gösterilmiştir.

    Alan Açıklama
    id Tablonun birincil anahtarı. Bu değer diğer tablolarla ilişki kurulurken kullanılıyor.
    url Kullanıcının ziyaret ettiği URL
    title Ziyaret edilen URL’in başlık (title) bilgisi
    visit_count İlgili URL’in kaç kez ziyaret edildiği bilgisi
    typed_count İlgili URL’in toplamda kaç kez adres çubuğuna elle yazıldığı bilgisi
    last_visit_time Kullanıcı tarafından ilgili URL’in en son ne zaman ziyaret edildiği bilgisi. Burada kullanılan zaman Google’ın kendi zaman formatındadır.
    hidden İlgili URL’in autocomplate özelliği içinde kullanılıp kullanıcıya gösterilip gösterilmeyeceğini belirtir. Buradaki değer 1 ise autocomplate sırasında kullanıcıya bu URL gösterilmez, 0 ise gösterilir.
    favicon_id Her bir URL’in favori ikonunun bilgisinin saklandığı favicon tablosu ile ilişkiyi sağlayan anahtar değer.


    Aşağıda yer alan tabloda ise bir önceki adımda elde ettiğimiz History dosyasındaki visitstablosunda hangi alanların yer aldığı ve bu alanlarda hangi verilerin saklandığını görebilirsiniz. Bu tablo bir önceki tabloda anlatılan url tablosu ile birlikte kullanılır.


    Alan Açıklama
    id Tablonun birincil anahtarı. Bu değer diğer tablolarla ilişki kurulurken kullanılıyor.
    url İlişkili URL’e ait url tablosundaki birincil anahtar.
    visit_time URL’in ziyaret edildiği zamanı gösterir. Burada kullanılan zaman Google’ın kendi zaman formatındadır.
    from_visit Eğer bu URL’e bir yönlendirme sonucunda ulaşılmazsa, yönlendirmeyi yapan URL’in ID’si burada yer alır. Eğer bir yönlendirme yoksa bu değer 0’dır.
    transition Ziyaret edilen adresin ne şekilde çağırıldığını gösterir. Örneğin kullanıcı bir linke tıklayarak mı ilgili URL’e ulaştı yoksa adres çubuğuna kendisi yazarak mı URL’i çağırdı bilgisini buradan öğrenebiliriz. 11 farklı değer olabilir burada. Buradaki değer 0xFF değeri ile AND işlemine tabi tutmak lazım gerçek karşılığını öğrenmek için.
    segment_id Segment ID değeri


    Bu tabloda yer alan transition alanında yer alabilecek değerler ise aşağıdaki tabloda gösterilmiştir.



    Değer Açıklama
    LINK Kullanıcının ilgili adresi bir linke tıklayarak çağırdığını gösterir.
    TYPED Kullanıcının ilgili adresi adres çubuğuna kendisinin yazdığını gösterir.
    START_PAGE Chrome’un başlangıç sayfası
    History dosyası içinde yer alan bir diper önemli tablo da downloads tablosudur ve bu tablo kullanıcının Chrome kullanarak internet üzerinden indirdiği doküman&belge&uygulamalarailişkin detayların olduğu tablodur. Bu tabloya ait örnek bir çıktı aşağıda yer almaktadır. Bu tablodaki referrer alanında ilgili indirme işlemini tetikleyen URL yer alır.


    [​IMG]

    Chrome üzerinden ziyaret edilen sitelere ilişkin çerezler kullanıcının profilindeki cookies isimli dosyada saklanır. Çerezler bir web sunucunuda temel manada istemcileri bir birinden ayırt etmek için kullanılan oturum verileri olup sunucu tarafından istemci üzerinde oluşturulan dosyalardır. Bu dosyalar da analiz edilerek (History dosyasından bağımsız) kullanıcının hangi siteleri ziyaret ettiği bilgisi elde edilebilir.

    Daha önce incelediğimiz History dosyasında da gördüğümüz üzere Google Chrome veritabanları için bir uzantı kullanmaz ama dosyalar SQLite 3 formatındadır. Aşağıda yer alan ekran görüntüsünde SQLite Manager eklentisi kullanılarak açılan örnek bir cookies dosyası yer almaktadır. Buradaki host_key alanında ilgili çerezin ait olduğu site adresi yer alır.


    [​IMG]



    Google Chrome, kullanıcının internetten gezinirken görüntülediği dosyaları daha sonradan hızlı erişim gerçekleştirmek adına yerel diskte cache dizininde saklar. Bu dizin analiz edilerek kullanıcının internet hareketleri hakkında hatırı sayılır bir bilgiye ulaşılabilir. Chrome’un cache dizininin yerel disk üzerindeki lokasyonu şöyledir;

    C:\Users\%USERNAME%\AppData\Local\Google\Chrome\User Data\Default\Cache\

    Bu cache dizinine Chrome’un adres çubuğuna chrome://cache/ yazarak da erişilebilir. Örnek bir cache dizin yapısının Google Chrome üzerinden görüntülenmesine dair ekran görüntüsü aşağıda yer almaktadır. Bu listede yer alan cache objelerinin bazılarında GET isteklerine ait parametreler de görülebilir.

    [​IMG]

    Chrome’un cache dizini içinde yer alan objeleri görüntülemek için ChromeCacheView uygulamasını da kullanabiliriz. Ücretsiz bir uygulama olan ChromeCacheView’in son sürümüne http://www.nirsoft.net/utils/chrome_cache_view.html adresinden ulaşılabilir. Bu uygulama çaıştırıldıktan sonra nasıl bir ekranla karşılaşılacağını göstermesi açısından aşağıda yer alan ekran görüntüsüne bakılabilir. Bu uygulama sayesinde cache’de yer alan objelerin istendiği sunucunun türü ve sunucunun döndüğü Status kod bilgisine de ulaşabiliyoruz.

    [​IMG]



    Yukarıdaki analizleri biraz daha otomatize yapma ihtiyacı hissettiğimizde yardımımıza hindsight isimli açık kaynak kodlu script yetişir.Hindsight, ücretsiz bir yazılım olup Google Chrome’a ait internet geçmişi dosyalarını analiz etmek için kullanılabilir. Bu yazılım ile Google Chrome kullanarak oluşturulan bir çok internet izini elde etmemiz mümkündür. Bu scriptihttps://github.com/obsidianforensics/hindsight adresinden indirebilirsiniz. Örnek kullanımı aşağıda gösterilmiştir.

    C:\hindsight.py -i “C:\Users\Halil\AppData\Local\Google\Chrome\User Data\Default” -o test_case

    -i: Girdi dizini (Google Chrome’un data dizini)
    -o: Çıktı için kullanılacak temel isim-basename
    -f: Çıktı formatı (xlsx,sqlite,json)
    -d: Linux veya Mac sistemlerde Google Chrome’da saklanan şifreli verilerin (kullanıcının şifreleri gibi) çözülüp çözülmeyeceğini belirten seçenek
    -h: Yardım mesajını göster.


    Aşağıdaki ekran görüntüsünde örnek bir Google Chrome profilinin hindsight tarafından analiz edilmesine ilişkin ekran çıktısı yer almaktadır.

    [​IMG]
    Bu script tarafından üretilen xlsx formatındaki dosyayı açtığımızda ise karşımıza aşağıdaki ekranda bir örneği gösterilen doküman çıkar. Bu dokümanda yer alan kayıtlar tarih sıralamasına göre en eskiden en yeniye göre sıralanmış kayıtlar olup Type kısmında ilgili kaydın türü (bookmark, download, autofill vb) yer alır.

    [​IMG]
    Alıntıdır
     
  2. MrX

    MrX Active Member

    Katılım:
    22 Mart 2016
    Mesaj:
    831
    Beğeniler:
    28
    Ödül Puanları:
    28
    Şehir:
    Belirtilmemiş
    Çok güzel konu Eline sağlık tüm bu adli bilişim ile ilgili açtığın konuları en son bir pdf ile birleştirirsen daha güzel olucak :D çünkü burdaki bilgiler siline bilir yani siteye birşey olur bir daha ulaşamayız fln pdf olarak ta düzenlerse daha iyi ve sağlıklı olucagına inanıyorum
     
  3. Al-Farabi

    Al-Farabi Albay

    Katılım:
    16 Ocak 2016
    Mesaj:
    1,349
    Beğeniler:
    128
    Ödül Puanları:
    63
    Size fikir size bir öneri http://pdfmyurl.com bu adresten girdiğiniz sitenin Pdf halini saniyeler içinde siz sunuyor :)
     
  4. MrX

    MrX Active Member

    Katılım:
    22 Mart 2016
    Mesaj:
    831
    Beğeniler:
    28
    Ödül Puanları:
    28
    Şehir:
    Belirtilmemiş
    teşekkürler :)
     

Bu Sayfayı Paylaş

Share